CVE-2024-11028丨MultiManager WP – 轻松管理所有 WordPress 网站 <= 1.0.5 - 通过用户模仿绕过身份验证

2024年11月14日 160点热度 0人点赞 0条评论

MultiManager WP – 轻松管理所有 WordPress 网站 <= 1.0.5 - 通过用户模仿绕过身份验证 (CVE-2024-11028)

CVE编号

CVE-2024-11028

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-13

漏洞描述

WordPress中的MultiManager WP - 轻松管理所有WordPress站点插件在所有版本（包括1.0.5版本）中都存在认证绕过漏洞。这是由于用户模仿功能通过用户提供的输入不当地确定当前用户所导致的。这使得未经身份验证的攻击者能够生成模仿链接，使他们能够登录为任何现有用户，如管理员。注意：用户模仿功能在版本1.1.0中被禁用，并在版本1.1.2中通过补丁重新启用。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/changeset/3184657/multimanager-wp
https://plugins.trac.wordpress.org/changeset/3184678/multimanager-wp
https://plugins.trac.wordpress.org/changeset/3184826/multimanager-wp
https://www.wordfence.com/threat-intel/vulnerabilities/id/de8e7adc-3777-4fb1-...

CVE-2024-11028丨MultiManager WP – 轻松管理所有 WordPress 网站 <= 1.0.5 - 通过用户模仿绕过身份验证

MultiManager WP – 轻松管理所有 WordPress 网站 <= 1.0.5 - 通过用户模仿绕过身份验证 (CVE-2024-11028)

漏洞描述

解决建议

参考链接

文章评论